集团新闻

    研究人员在一次中等规模攻击活动分析时,意外发现了一个新的勒索软件家族——“蜘蛛”,其使用的诱饵文档被自动同步至企业云存储以及各类协作应用当中。

    “蜘蛛”勒索软件如何“捕获”猎物?


    “蜘蛛”这一新型威胁最初被发现于一份Office文档当中,当时这份文档被用于攻击波黑、塞尔维亚以及克罗地亚等国的用户。企图通过钓鱼电子邮件“谎称收件人应向其缴清债务”,引导用户打开附件。

    该Office文档当中嵌有经过混淆的宏代码,可启动一条经过Base64加密的PowerShell脚本以下载恶意载荷。一旦该恶意软件成功感染目标系统,随后会加密用户文件,并为受影响文件添加“.spider(即蜘蛛)”扩展名。

    解密器与加密器一同执行

    与之对应的解密器能够显示用户界面,并允许用户利用解密密钥完成文件解密。该解密器与加密器一同执行,但将始终保持后台执行,直到加密过程完成。

    根据马利克的解释,“蜘蛛”解密器会监视系统进程,并阻止诸如taskmgrprocexpmsconfigregeditcmdoutlookwinwordexcel以及msaccess等工具的启动。

    哪些文件不被加密?

    “蜘蛛”在加密过程中会自动跳过以下文件夹中的文件(即执行部分文件加密):tmpVideoswinntApplication DataSpiderPrefLogsProgram Files (x86)Program FilesProgramDataTempRecycleSystem Volume InformationBoot以及Windows

    勒索开始

    在加密过程结束后,“蜘蛛”之后就会向用户索要约120美元的赎金,该解密器会显示一条警告信息(英文、克罗地亚语版本),通知用户如何对文件进行解密。其中还包含帮助信息,内有链接以及完成支付所需资源的参考说明。

    目前,能够有效避免或者减小勒索攻击损失的方式,是企业的安全管理人员对员工进行勒索软件的普及性教育,培养对关键性数据进行定期备份的习惯,以保证对企业数据的保护能力。除了以默认方式禁用宏之外,用户必须谨慎对待一切需要启用宏功能才可查看内容的文件,同时,不执行任何来自非受信来源的宏或未签名宏。